कुछ मार्शमैलो डिवाइस टैपजैकिंग के प्रति संवेदनशील होते हैं, जहां एक ऐप उपयोगकर्ता को धोखा देने के लिए अनुमति संवाद के शीर्ष पर टेक्स्ट को ओवरले करता है।
जबकि हम में से कई लोग नेक्सस उपकरणों के लिए हाल ही में जारी किए गए एंड्रॉइड नौगट पर लार टपकाते हैं, अधिकांश उपयोगकर्ता अभी भी एंड्रॉइड मार्शमैलो पर हैं। एक ऐसा कारनामा जिसके अस्तित्व को तब से प्रलेखित किया गया है कम से कम 2015 के मध्य में यह अभी भी कई आधुनिक Android उपकरणों को प्रभावित कर रहा है।
दुर्भावनापूर्ण एप्लिकेशन सक्षम हैं टैपजैक आपके कार्यों में उन्हें ऐसी अनुमति देना जो आपने कभी स्पष्ट रूप से नहीं दी। यहां बताया गया है कि शोषण कैसे काम करता है.
टैपजैकिंग की वापसी
कल्पना करें कि आप इंस्टाग्राम खोलते हैं और हाल ही में छुट्टियों के दौरान ली गई एक तस्वीर साझा करने का प्रयास करते हैं। जब आप किसी तस्वीर के लिए अपनी गैलरी ब्राउज़ करना चुनते हैं, तो इंस्टाग्राम आपसे आपके स्टोरेज तक पहुंचने की अनुमति मांगता है। लेकिन जब आप "हां" पर टैप करते हैं तो आपको एक त्रुटि संदेश मिलता है।
आप इंस्टाग्राम के लिए स्टोरेज की अनुमति देने में असमर्थ हैं क्योंकि आपके पास एक सक्रिय स्क्रीन ओवरले सक्षम है इस मामले में, यह उन कई अनुप्रयोगों में से एक है जो आपकी स्क्रीन को इस प्रकार रंग देता है कि आप रात में बिना आंखों की रोशनी के अपने फोन का उपयोग कर सकते हैं अपने आप को। यह एंड्रॉइड अनुमति प्रणाली का मामला है
इच्छानुसार कार्य करना: किसी एप्लिकेशन को संवेदनशील अनुमति देने के लिए, आपको अपने डिवाइस पर मौजूद किसी भी स्क्रीन ओवरले को अक्षम करना होगा।जो एप्लिकेशन आपकी स्क्रीन पर कब्जा करने की क्षमता रखते हैं, वे संभावित रूप से आपको संवेदनशील डेटा खिलाने में धोखा दे सकते हैं। उदाहरण के लिए, एक स्क्रीन ओवरले आपके पासवर्ड एकत्र करने के लिए वास्तविक लॉगिन स्क्रीन के शीर्ष पर एक नकली पासवर्ड इनपुट रख सकता है। ऐसे ही एक कारनामे को कहते हैं 'टैपजैकिंग' और पिछले कुछ वर्षों में विभिन्न एंड्रॉइड संस्करणों पर पॉप और पैच किया गया है Android 4.0.3 तक चलने वाले सबसे खराब उदाहरणों में से एक. लेकिन हाल ही में, शोषण ने वापसी की एंड्रॉइड मार्शमैलो का रन-टाइम अनुमति मॉडल.
के नाम से एक डेवलपर इवो बनास एक बनाया आवेदन शोषण का प्रदर्शन. इसके काम करने का तरीका काफी सरल है - जब कोई एप्लिकेशन एक अनुमति संवाद प्रदर्शित करता है, तो दुर्भावनापूर्ण एप्लिकेशन आपके द्वारा इंस्टॉल किया गया सिस्टम अनुमति संवाद के टेक्स्ट ब्लॉक को किसी भी टेक्स्ट के साथ कवर करने के लिए एक सिस्टम ओवरले प्रदर्शित करेगा चाहता हे। एक अनजाने उपयोगकर्ता जो अनुमति संवाद बॉक्स पर "अनुमति" पर क्लिक करता है, उसे वह अनुमति देने के लिए धोखा दिया जाएगा जो उनसे मांगी गई थी - लेकिन जिसके लिए अनुरोध उपयोगकर्ता के दृश्य से छिपा हुआ था। इस तरह का कारनामा एंड्रॉइड मार्शमैलो की शुरुआत के बाद से इसकी अनुमति प्रणाली के उद्देश्य को पूरी तरह से विफल कर देता है नए मॉडल को यह सुनिश्चित करना था कि उपयोगकर्ताओं को केवल वही अनुमतियाँ मिलेंगी जिनके लिए उन्होंने स्पष्ट रूप से सहमति दी है.
अब, मुझे पता है कि आप क्या सोच रहे हैं। यदि एंड्रॉइड ने एक सिस्टम ओवरले का पता लगाया और मुझे इंस्टाग्राम स्टोरेज अनुमतियां देने से रोक दिया, तो क्या यह इस शोषण को होने से नहीं रोकेगा? जवाब न है, मेरे परीक्षण में ऐसा प्रतीत होता है कि कुछ उपकरणों पर अनुमति संवाद के शीर्ष पर टेक्स्ट ओवरले प्रदर्शित करने से सुरक्षा तंत्र ट्रिगर नहीं होता है। प्रूफ़-ऑफ़-कॉन्सेप्ट टैपजैकिंग एप्लिकेशन के डेवलपर का कहना है कि यह शोषण प्रभावी है उपयोगकर्ता द्वारा द्वितीयक दुर्भावनापूर्ण एप्लिकेशन इंस्टॉल करने पर निर्भर करता है जो एपीआई स्तर 22 और उससे नीचे को लक्षित करता है (पूर्व-मार्शमैलो)। यह इस तथ्य के कारण है कि एंड्रॉइड मार्शमैलो से पहले, सभी एप्लिकेशन को इंस्टॉलेशन के दौरान अनुमति दी जाती है।
ठीक है, इसलिए यदि आप मार्शमैलो पर हैं तो आपको बस इतना करना होगा कि ऐसे किसी भी ऐप को इंस्टॉल करने से बचें जिन पर आपको भरोसा नहीं है जो ओवरले बनाने की अनुमति का अनुरोध करते हैं, है ना? यदि एंड्रॉइड का अनुमति मॉडल मूल रूप से निर्धारित तरीके से काम कर रहा था, तो आप सही होंगे। लेकिन इस कारनामे की खोज के बाद से, यहां तक कि एपीआई स्तर 23 को लक्षित करने वाले ऐप्स भी (मार्शमैलो) जो ओवरले अनुमति का अनुरोध करते हैं वे एक संभावित जोखिम हैं।
अनुमति मॉडल में एक अंतर?
यदि आप उन लाखों लोगों में से एक हैं जो अपने दोस्तों के साथ चैट करने के लिए फेसबुक मैसेंजर का उपयोग करते हैं, तब आपको एंड्रॉइड की सबसे अच्छी सुविधाओं में से एक का पता चला होगा - ऐप्स को दूसरे से ऊपर खींचने की क्षमता स्क्रीन. यह कितना अच्छा है कि आप अपने पसंदीदा फेसबुक समूह चैट के साथ एक बबल बना सकते हैं और उपयोगकर्ता द्वारा खोले गए किसी भी एप्लिकेशन के शीर्ष पर उसका अनुसरण कर सकते हैं? हालाँकि फेसबुक के मैसेंजर ने "फ़्लोटिंग ऐप्स" विचार को मुख्यधारा में लाया, यह अवधारणा एंड्रॉइड में कुछ समय से मौजूद है। कुछ समय से एप्लिकेशन आपके ऐप्स के शीर्ष पर ओवरले बनाने में सक्षम हैं, इसके अस्तित्व के लिए धन्यवाद टाइप_सिस्टम_ओवरले एंड्रॉइड के विंडोमैनेजर में।
एंड्रॉइड मार्शमैलो से पहले, एप्लिकेशन को अनुमति के लिए अनुरोध करना होगा सिस्टम_अलर्ट_विंडो इंस्टॉलेशन के दौरान इससे पहले कि यह आपकी स्क्रीन के शीर्ष पर ओवरले प्रदर्शित कर सके। लेकिन 6.0 के ग्रैन्युलर रन-टाइम अनुमति मॉडल की शुरूआत के साथ यह बदल गया। उपयोगकर्ताओं को अब वास्तव में ऐप चलाते समय एप्लिकेशन को अनुमति देनी होगी, जिससे उम्मीद है कि औसत में वृद्धि होगी उपयोगकर्ता अपने निजी डेटा को उन अनुप्रयोगों से सुरक्षित रखते हैं जो संदिग्ध रूप से कार्यात्मक रूप से असंबंधित अनुरोध करते हैं अनुमतियाँ.
हालाँकि, SYSTEM_ALERT_WINDOW अन्य अनुमतियों की तरह नहीं है। मार्शमैलो को लक्षित करने वाले किसी भी ऐप पर अधिकांश अन्य अनुमतियों की तरह, डेवलपर्स अंतिम-उपयोगकर्ता द्वारा अनुमति दिए जाने का प्रोग्रामेटिक रूप से अनुरोध करने के लिए एक संवाद प्रदर्शित नहीं कर सकते हैं। इसके बजाय, आपको सेटिंग्स स्क्रीन पर मैन्युअल रूप से नेविगेट करना होगा और अनुमति को स्वयं सक्षम करना होगा। बेशक, फेसबुक मैसेंजर जैसे कुछ ऐप इस प्रक्रिया में आपकी मदद करेंगे।
Google को डेवलपर्स से इसकी आवश्यकता है क्योंकि उन्होंने अनुमति को "विशेष रूप से संवेदनशील."
विशेष अनुमतियाँ
कुछ अनुमतियाँ ऐसी हैं जो सामान्य और खतरनाक अनुमतियों की तरह व्यवहार नहीं करती हैं। SYSTEM_ALERT_WINDOW और WRITE_SETTINGS विशेष रूप से संवेदनशील हैं, इसलिए अधिकांश ऐप्स को उनका उपयोग नहीं करना चाहिए। यदि किसी ऐप को इनमें से किसी एक अनुमति की आवश्यकता है, तो उसे मैनिफ़ेस्ट में अनुमति की घोषणा करनी होगी, और उपयोगकर्ता के प्राधिकरण का अनुरोध करते हुए एक आशय भेजना होगा। सिस्टम उपयोगकर्ता को एक विस्तृत प्रबंधन स्क्रीन दिखाकर इरादे का जवाब देता है।
टैपजैकिंग के बारे में हम ऊपर जो जानते हैं, उसे देखते हुए यह समझ में आता है। लेकिन बात ये है. गूगल अपने नियमों का भी पालन नहीं करता. फेसबुक मैसेंजर के स्क्रीनशॉट जो आपको SYSTEM_ALERT_WINDOW अनुमति देने की प्रक्रिया में मार्गदर्शन कर रहे हैं, जो मैंने आपको ऊपर दिखाया था? ऐसा तभी होता है जब आप Google Play Store के बाहर से एपीके इंस्टॉल करते हैं। यदि आप Google Play Store से कोई एप्लिकेशन इंस्टॉल करते हैं, तो SYSTEM_ALERT_WINDOW अनुमति स्वचालित रूप से प्रदान की जाती है.
Google ने सुविधा के लिए सुरक्षा का त्याग कर दिया है
एंड्रॉइड मार्शमैलो से पहले लंबे समय तक, SYSTEM_ALERT_WINDOW को "माना जाता थाखतरनाक" अनुमति। एंड्रॉइड मार्शमैलो 6.0 के साथ, अनुमति को बदल दिया गया था हस्ताक्षर|सिस्टम|एपॉप शुरुआत में डेवलपर्स को अनुमति देने के लिए उपयोगकर्ता को सेटिंग स्क्रीन पर ले जाना आवश्यक था। लेकिन एंड्रॉइड संस्करण 6.0.1 के साथ, SYSTEM_ALERT_WINDOW संशोधित किया गया था ताकि Google Play Store अनुमति स्वचालित रूप से प्रदान कर सकता हैउपयोगकर्ता को सूचित किए बिना. Google ने यह परिवर्तन क्यों किया यह हमारे लिए अस्पष्ट है। Google ने स्वयं सामने आकर यह नहीं बताया है कि उन्होंने यह परिवर्तन क्यों किया, जो कि SYSTEM_ALERT_WINDOW के बारे में उस भाषा को देखते हुए विशेष रूप से अजीब है जो अभी भी उनके वेबपेजों पर मौजूद है।
यह संभव है कि कई डेवलपर्स नाराज थे SYSTEM_ALERT_WINDOW में प्रारंभिक परिवर्तनों के कारण उपयोगकर्ताओं को मैन्युअल रूप से अनुमति देने की आवश्यकता होती है, जिसे Google ने चुपचाप छोड़ दिया और अनुरोध करने वाले किसी भी एप्लिकेशन को अनुमति दे दी। लेकिन ऐसा करने में, Google ने ऐसा किया है सुविधा के लिए सुरक्षा का त्याग किया. एक कारण है कि Google ने स्वयं सबसे लंबे समय तक अनुमति को खतरनाक माना है, क्योंकि यह है। और मार्शमैलो अनुमति टैपजैकिंग शोषण का अस्तित्व किसी भी ऐप को स्वचालित रूप से यह अनुमति देने में अंतर्निहित खतरों का पर्याप्त सबूत है।
यह टैपजैकिंग कारनामा हाल ही में हमारे ध्यान में लाया गया है, हालांकि यह कई महीनों से अस्तित्व में है। XDA पोर्टल टीम के बीच उपकरणों के हमारे आंतरिक परीक्षण में, हमने इसकी पुष्टि की है यह शोषण एंड्रॉइड मार्शमैलो चलाने वाले कई आधुनिक उपकरणों पर काम करता है. यहां उन डिवाइसों का त्वरित विवरण दिया गया है जिनका हमने प्रत्येक संबंधित डिवाइस के लिए नवीनतम उपलब्ध सॉफ़्टवेयर संस्करणों पर परीक्षण किया है और टैपजैकिंग शोषण काम करता है या नहीं। "असुरक्षित" चिह्नित डिवाइस टैपजैकिंग के प्रति संवेदनशील हैं, जबकि "नहीं" चिह्नित डिवाइस वल्नरेबल'' ओवरले प्रदर्शित करने वाले ऐप का पता लगाने में सक्षम है और अनुरोध करता है कि आप इसे पहले अक्षम कर दें जारी है.
- नेक्स्टबिट रॉबिन - एंड्रॉइड 6.0.1 जून सुरक्षा पैच के साथ - असुरक्षित
- मोटो एक्स प्योर - एंड्रॉइड 6.0 मई सुरक्षा पैच के साथ - असुरक्षित
- ऑनर 8 - एंड्रॉइड 6.0.1 जुलाई सुरक्षा पैच के साथ - असुरक्षित
- मोटोरोला जी4 - एंड्रॉइड 6.0.1 मई सुरक्षा पैच के साथ - असुरक्षित
- वनप्लस 2 - एंड्रॉइड 6.0.1 जून सुरक्षा पैच के साथ - असुरक्षित नहीं
- सैमसंग गैलेक्सी नोट 7 - एंड्रॉइड 6.0.1 जुलाई सुरक्षा पैच के साथ - असुरक्षित नहीं
- Google Nexus 6 - Android 6.0.1 अगस्त सुरक्षा पैच के साथ - असुरक्षित नहीं
- Google Nexus 6P - Android 7.0 अगस्त सुरक्षा पैच के साथ - असुरक्षित नहीं
अब तक, वे सभी उपकरण हैं जिनका परीक्षण मैं टीम से कराने में सफल रहा। मुझे सुरक्षा पैच संस्करण और शोषण के बीच कोई संबंध नहीं मिला। जैसा कि आप हमारे से बता सकते हैं Android सुरक्षा अपडेट के संबंध में नवीनतम चर्चा, बहुत से लोग वैसे भी नवीनतम सुरक्षा पैच पर नहीं चल रहे हैं, और इस प्रकार संभवतः इस शोषण और अन्य के प्रति संवेदनशील हैं जो कि उल्लिखित हैं Android सुरक्षा बुलेटिन.
आगे बढ़ते हुए
हम आपसे आग्रह करते हैं कि आप अपने डिवाइस पर इस शोषण का परीक्षण करके देखें कि क्या आप असुरक्षित हैं. हमने से एपीके संकलित किए हैं स्रोत कोड ऊपर लिंक किया गया है (आप इसे स्वयं भी कर सकते हैं) और उन्हें AndroidFileHost पर अपलोड कर दिया है। शोषण का परीक्षण करने के लिए, आपको दोनों को स्थापित करना होगा मुख्य टैपजैकिंग एप्लिकेशन साथ ही इसके सहायक सेवा. फिर, बस मुख्य एप्लिकेशन चलाएं और "परीक्षण" बटन पर क्लिक करें। यदि एक टेक्स्ट बॉक्स अनुमति संवाद के शीर्ष पर तैरता है और जब आप "अनुमति" पर क्लिक करते हैं तो आपके डिवाइस के संपर्कों की एक सूची दिखाई देती है, तो आपका डिवाइस टैपजैकिंग के प्रति संवेदनशील है। फ़्लोटिंग टेक्स्ट बॉक्स के बारे में चिंता न करें जो पूरी तरह से अनुमति संवाद को कवर नहीं करता है, यह प्रूफ़-ऑफ़-कॉन्सेप्ट ऐप ऐसा नहीं करता है इसका उद्देश्य पूरी तरह से प्रदर्शित करना है कि अनुमति संवाद को कैसे बड़े करीने से हाईजैक किया जाए, बल्कि यह साबित करने के लिए कि यह वास्तव में है संभव।
हम आशा करते हैं कि एक समाधान पेश किया जाएगा जो सभी मार्शमैलो डिवाइसों पर इस शोषण को पैच कर देगा, और ओईएम अपने सभी डिवाइसों को नवीनतम सुरक्षा पैच में अपडेट कर देंगे। क्योंकि वास्तविकता यह है कि अधिकांश गिरवी रखे गए उपकरणों को नौगट प्राप्त करने में कई महीने लगेंगे, इसलिए अधिकांश के लिए यही एकमात्र रास्ता है उपयोगकर्ताओं को नुकसान से बचने के लिए या तो नवीनतम सुरक्षा पैच इंस्टॉल करना होगा या मॉनिटर ऐप की अनुमति लेनी होगी खुद। लेकिन संभावित रूप से खतरनाक SYSTEM_ALERT_WINDOW अनुमति को स्वचालित रूप से देने के Google के निर्णय के साथ, कई उपयोगकर्ता अनजाने में ऐसे ऐप्स चला रहे हैं जो संभावित रूप से उनके फोन को हाईजैक कर अधिक से अधिक खतरनाक बना सकते हैं अनुमतियाँ.